DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

Fuentes de conocimiento: PO9 Evaluar y administrar los riesgos de TI

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO
Proceso de gestin de riesgos informticos
AUDITADO
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)

PROCESO PO9 Evaluar y administrar los riesgos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Verificar la Medicin de
Documento de existencia de resultados de la
Manual de documentos eficacia y eficacia
riesgos respecto a los de los controles
Sistema de manuales de existentes.
control interno riesgos, sistemas Aplicacin de la
Metodologa de de control interno, metodologa de
evaluacin de manuales de administracin de
riesgos convivencia, riesgos.
Existencia de una Comprobar la
metodologa para aplicacin de
la administracin controles frente a
de riesgos. los riesgos
Riesgos detectados.
detectados y su
tratamiento.
Entrevista: Evaluar y administrar los riesgos de TI

ENTREVISTA
PO9 Evaluar y
DOMINIO Planear y Organizar (PO) PROCESO administrar los riesgos
de TI
OBJETIVO DE CONTROL
N CUESTIONARIO RESPUESTA
El colegio cuenta con una
metodologa para la administracin
de los riesgos informticos?
Se realiza la evaluacin de los
En el colegio no se realiza
riesgos que pueden afectar la
procedimiento alguno que tenga
1 infraestructura tecnolgica de la
que ver con evaluacin de
institucin, mediante la utilizacin de
riesgos.
una metodologa?
Se utilizan mtodos cualitativos o
cuantitativos para medir la No se realizan mediciones de
2 probabilidad e impacto de los riesgos probabilidad de impacto de los
que pueden afectar la infraestructura riesgos.
tecnolgica?
Se cuenta con un sistema de control
para mitigar los riesgos que pueden
afectar la infraestructura tecnolgica
del colegio frente a las
3
vulnerabilidades y amenazas, que
vulnerabilidades y amenazas son las
ms frecuentes?, se realiza
monitoreo peridico de riesgos?.

Lista chequeo: Evaluar y administrar los riesgos de TI

LISTA CHEQUEO
PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI
 PO9.1 Marco de trabajo de administracin de
OBJETIVO DE CONTROL
riesgos:
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Existe un marco de referencia
para la evaluacin sistemtica de
1 los riesgos a los que est x
expuesta la infraestructura
tecnolgica de la institucin?
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo:
CONTROL
Se realiza la evaluacin de los
riesgos que pueden afectar la
2 infraestructura tecnolgica x
mediante la utilizacin de una
metodologa?
OBJETIVO DE
PO9.3 Identificacin de eventos:
CONTROL
Se realiza actualizacin de los
diferentes tipos de riesgos que
3 x
pueden afectar la infraestructura
tecnolgica?
OBJETIVO DE
PO9.4 Evaluacin de los riesgos de TI:
CONTROL
Se utilizan mtodos cualitativos
o cuantitativos para medir la
4 probabilidad e impacto de los x
riesgos que pueden afectar la
infraestructura tecnolgica?
OBJETIVO DE
PO9.5 Respuesta a los riesgos:
CONTROL
Existe un plan de accin para
mitigar los riesgos de la
5 x
infraestructura tecnolgica de
forma segura?
OBJETIVO DE PO9.6 Mantenimiento y monitoreo de un plan de
CONTROL accin de riesgos:
Se monitorea el plan de accin
6 en contra de los riesgos de la x
infraestructura tecnolgica?
Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar PROCES PO9 Evaluar y
(PO) O administrar los riesgos
de TI

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 Existe un marco de referencia para la 3
evaluacin sistemtica de los riesgos a
los que est expuesta la infraestructura
tecnolgica de la institucin?
2 Se realiza la evaluacin de los riesgos 4
que pueden afectar la infraestructura
tecnolgica mediante la utilizacin de
una metodologa?
3 Se realiza actualizacin de los 4
diferentes tipos de riesgos que pueden
afectar la infraestructura tecnolgica?
4 Se utilizan mtodos cualitativos o 4
cuantitativos para medir la probabilidad
e impacto de los riesgos que pueden
afectar la infraestructura tecnolgica?
5 Existe un plan de accin para mitigar 4
los riesgos de la infraestructura
tecnolgica de forma segura?
6 Se monitorea el plan de accin? 3
TOTAL 0 22
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (0 * 100) / 22 = 0
Porcentaje de riesgo total = 100 0 = 100
PORCENTAJE RIESGO 48,98% (Riesgo Alto)

Interpretar este resultado

Fuentes de conocimiento: Adquirir y Mantener Software Aplicativo

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Adquisicin y mantenimiento de plataforma Acadmica
AUDITADO Gawss
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Adquirir e implementar (AI)

PROCESO AI2 Adquirir y Mantener Software Aplicativo

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Contrato de Revisin de Revisin de

Licencia de uso contrato de uso cumplimiento del
de software. del software de la contrato frente a
plataforma los mdulos
acadmica frente operados, el
al modelo de proceso de
contrato capacitacin, el
informtico de proceso de
licencias de uso actualizacin,
Revisin de soporte y
mdulos en mantenimiento.
operacin
Documentos de
 actualizaciones
realizadas
Documento de
soporte de
soporte y
mantenimiento del
software
Documento de
capacitacin y
personal
capacitado para el
manejo del
software.

Entrevista: Adquirir y Mantener Software Aplicativo

ENTREVISTA
Adquirir e implementar AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI) Software Aplicativo
OBJETIVO DE CONTROL
N CUESTIN RESPUESTA
No se realizan controles de
Conoce si existen controles de
procesamiento disponibilidad
procesamiento, seguridad y
1 sobre el software contratado, pero
disponibilidad sobre el software
s de seguridad para el ingreso a
(Gawss) contratado por la institucin?
l.
Considera que el software Gawss Efectivamente, el software gawss
realiza todos los procedimientos para si realiza todos los procedimientos
2
las cuales fue contratado por el que le fue solicitado a sus
colegio? desarrolladores.
Si se cuenta con el contrato, pero
Sabe si el colegio tiene firmado un
en lo que hace relacin al
contrato de Licencia de uso de
mantenimiento del mismo no
3 software, con el desarrollador del
tengo conocimiento si este est
aplicativo Gawss, y si en este se
estipulado en algn aparte del
incluye un plan de mantenimiento?
mencionado documento.
Lista chequeo: Adquirir y Mantener Software Aplicativo

LISTA CHEQUEO
Adquirir e implementar AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI) Software Aplicativo
AI2.3 Control y Posibilidad de Auditar las
OBJETIVO DE CONTROL
Aplicaciones
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Existen controles de
procesamiento sobre el software
1 X
(Gawss) contratado por la
institucin?
OBJETIVO DE
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
CONTROL
Se verifica peridicamente la
seguridad y disponibilidad del
2 X
software (Gawss) contratado por
la institucin?
OBJETIVO DE AI2.5 Configuracin e Implantacin de Software
CONTROL Aplicativo Adquirido:
El software Gawss realiza todos
3 los procedimientos para las cuales X
fue contratado por el colegio?
OBJETIVO DE
AI2.7 Desarrollo de Software Aplicativo:
CONTROL
El colegio tiene firmado un
contrato de Licencia de uso de
4 X
software, con el desarrollador
del software Gawss?
Los desarrolladores informan
sobre las actualizaciones del
sistema?, Los desarrolladores
brindan el soporte y
5
mantenimiento cuando se
requiere por parte del colegio?,
cul es el tiempo de respuesta
a esas solicitudes?
OBJETIVO DE
AI2.10 Mantenimiento de Software Aplicativo:
CONTROL
6 Se realiza copias de seguridad x
de la informacin como parte del
 mantenimiento?, Existe un plan
de mantenimiento para el software
Gawss durante el ao lectivo?

Cuestionario: Adquirir y Mantener Software Aplicativo

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCES AI2 Adquirir y Mantener
implementar (AI) O Software Aplicativo

N PREGUNTA SI NO NA REF
1 Existen controles de procesamiento 4
sobre el software (Gawss) contratado
por la institucin?
2 Se verifica peridicamente la 4
seguridad y disponibilidad del software
(Gawss) contratado por la institucin?
3 El software Gawss realiza todos los 5
procedimientos para las cuales fue
contratado por el colegio?
4 El colegio tiene firmado un contrato 5
de Licencia de uso de software, con el
desarrollador del software Gawss?
5 Existe un plan de mantenimiento para 4
el software Gawss?
TOTAL 18 4
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (18 * 100) / 49 = 81,81
Porcentaje de riesgo total = 100 81,81= 18,19
PORCENTAJE RIESGO 18,19% (Riesgo Bajo)
Interpretar este resultado

Fuentes de conocimiento: Adquirir y mantener infraestructura tecnolgica

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Adquisicin y mantenimiento de infraestructura de red,
AUDITADO equipos
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Adquirir e implementar (AI)

PROCESO AI3 Adquirir y mantener infraestructura tecnolgica

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Plan de Verificar la Prueba de
adquisicin de existencia de un comparacin de
infraestructura plan de inventarios de
tecnolgica. adquisicin de equipos usando
Inventario de recursos de herramientas de
 equipos y infraestructura software
dispositivos de tecnolgica y comprobacin de
red. compararlo con la operatividad de
Manual de un plan estndar. los recursos de
funciones Verificar la infraestructura con
perfiles y existencia y respecto al plan de
competencias. actualizacin mantenimiento.
Plan de peridica de los
mantenimiento inventarios de la
de equipos, infraestructura
redes, y sistema tecnolgica.
elctrico. Verificar el registro
de uso de los
recursos con el fin
de obtener un
control y
seguridad de la
infraestructura.
Revisin contrato
de leasing para
alquiler de
equipos.

Entrevista: Adquirir y mantener infraestructura tecnolgica

ENTREVISTA
AI3 Adquirir y mantener
Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnolgica
AI3.1 Plan de adquisicin de infraestructura
OBJETIVO DE CONTROL
tecnolgica
N CUESTIN RESPUESTA
Qu problemas o inconvenientes ha Se han tenido problemas de
tenido la institucin educativa en prdida fsica de algunos equipos
cuanto a funcionamiento de la de algunas aulas, problemas de
1
infraestructura tecnolgica? iluminacin, la red se cae
constantemente y no satisface el
nmero de equipos.
2 Cada cunto tiempo se realiza Se hace mantenimiento al sistema
mantenimiento a la infraestructura fsico 1 vez cada 6 meses,
 tecnolgica?
aplicaciones de software 2 veces
cada 6 meses.
Han tenido inconvenientes con el
plan de adquisicin de la
infraestructura tecnolgica? Si o No, No se ha tenido inconvenientes
3
Cules? con el plan de adquisicin de IT

Se ha realizado un contrato de
leasing legal para el alquiler de los
equipos que estn en funcionamiento
4 en el colegio?, existen elementos
propios del colegio?, quien realiza el
mantenimiento de los equipos?

Lista chequeo: Adquirir y mantener infraestructura tecnolgica

LISTA CHEQUEO
AI3 Adquirir y mantener
Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnolgica
AI3.1 Plan de adquisicin de infraestructura
OBJETIVO DE CONTROL
tecnolgica
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Cuentan con un plan de
adquisicin, para adquirir,
1 X
implementar y mantener recursos
de Infraestructura Tecnolgica?
El plan considera extensiones
futuras para adiciones de
capacidad, costos de transicin,
2 x
riesgos tecnolgicos y vida til de
la inversin para actualizaciones
de tecnologa?
La institucin cuenta con un
3 inventario de infraestructura x
tecnolgica?
4 En el inventario se registran los x
equipos informticos existentes?
 (marca, modelo, ubicacin, fecha
de adquisicin, capacidad, etc.)
OBJETIVO DE AI3.2 Proteccin y Disponibilidad del Recurso de
CONTROL Infraestructura
Se registra el uso, se mantiene
5 un control y seguridad sobre el x
hardware y software?
Existen normas de control
interno donde se garantice la
6 x
proteccin de los recursos para su
disponibilidad e integridad?
Cuentan con un manual de
7 x
funciones?
OBJETIVO DE
AI3.3 Mantenimiento de la Infraestructura.
CONTROL
Cuentan con un plan de
8 mantenimiento de la x
infraestructura tecnolgica?
Dentro del plan de
9 mantenimiento se garantiza el x
control de cambios?
Software (Microsoft office,
antivirus, sistema operativo,
10 x En algunos casos
aplicativos) licenciado y
actualizado?
Se hace mantenimiento
peridicamente a la
infraestructura? (computador Algunas equipos
11 sobremesa, computador porttil, x carecen de
extintores, servidores, cableado mantenimiento
red, impresoras, enrutadores,
reguladores, etc.)
Se realizan revisiones a los PCs
12 con el fin de detectar software x
malicioso?
Los equipos se encuentran Algunos equipos no se
13 x
operando? encuentran operando
Cuestionario: Adquirir y mantener infraestructura tecnolgica

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCES AI3 Adquirir y mantener
implementar (AI) O infraestructura
tecnolgica

OBJETIVO DE CONTROL AI3.1 Plan de Adquisicin de Infraestructura

Tecnolgica
N PREGUNTA SI NO NA REF
1 Cuentan con un plan de adquisicin, 4
para adquirir, implementar y mantener
recursos de Infraestructura
Tecnolgica?
2 El plan considera extensiones futuras 4
para adiciones de capacidad, costos
de transicin, riesgos tecnolgicos y
vida til de la inversin para
actualizaciones de tecnologa?
3 La institucin cuenta con un 4
inventario de infraestructura
tecnolgica?
4 En el inventario se registran los 4
equipos informticos existentes?
(marca, modelo, ubicacin, fecha de
adquisicin, capacidad, etc.)
5 Se registra el uso, se mantiene un 4
control y seguridad sobre el hardware
y software?
6 Existen normas de control interno 3
 donde se garantice la proteccin de
los recursos para su disponibilidad e
integridad?
7 Cuentan con un manual de 3
funciones?
8 Cuentan con un plan de 4
mantenimiento de la infraestructura
tecnolgica?
9 Dentro del plan de mantenimiento se 4
garantiza el control de cambios?
10 Software (Microsoft office, antivirus, 4
sistema operativo, aplicativos)
licenciado y actualizado?
11 Se hace mantenimiento 4
peridicamente a la infraestructura?
(computador sobremesa, computador
porttil, extintores, servidores,
cableado red, impresoras,
enrutadores, reguladores, etc.)
12 Se realizan revisiones a los PCs con 4
el fin de detectar software malicioso?
TOTAL 3 47
TOTAL CUESTIONARIO 50
Porcentaje de riesgo parcial = (3 * 100) / 50 = 6
Porcentaje de riesgo total = 100 6 = 94
PORCENTAJE RIESGO 48,98% (Riesgo alto)

Interpretar el resultado
Fuentes de conocimiento: Instalar y Acreditar Soluciones y Cambios

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Instalacin, configuracin y funcionamiento de la
AUDITADO plataforma Gawss
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Adquirir e implementar (AI)

PROCESO AI7 Instalar y Acreditar Soluciones y Cambios

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Manuales del Comparar los Verificacin del

software manuales cumplimiento de
(manual de entregados por requisitos de
instalacin, los instalacin y
configuracin y desarrolladores configuracin del
de usuario). del producto sistema en los
frente a los equipos del
manuales colegio
estndar
Entrevista: Instalar y Acreditar Soluciones y Cambios

ENTREVISTA
Adquirir e implementar AI7 Instalar y Acreditar
DOMINIO PROCESO
(AI) Soluciones y Cambios
OBJETIVO DE CONTROL
N CUESTIN RESPUESTA
Si recib capacitacin para el
Usted recibi capacitacin para el
ingreso y uso de los mdulos de
manejo de los mdulos del software
1 inscripcin y matricula de
Gawss asignados a su perfil laboral?
estudiantes.
Usted conoce si existe en el colegio
2 Sinceramente no conozco esa
un plan de Pruebas establecidos para
informacin.
su aplicacin en el software Gawws

Usted conoce si existe en el colegio

un plan de respaldo establecidos
3 No, no conozco esa informacin.
para su aplicacin en el software
Gawws
Usted tiene los manuales del
software disponibles en caso de
alguna eventualidad?, los manuales
4
contienen informacin necesaria para
la instalacin y manejo del sistema?

Lista chequeo: Instalar y Acreditar Soluciones y Cambios

LISTA CHEQUEO
Adquirir e implementar AI7 Instalar y Acreditar
DOMINIO PROCESO
(AI) Soluciones y Cambios
OBJETIVO DE CONTROL AI7.1 Entrenamiento
CONFORME
 N ASPECTO EVALUADO SI NO OBSERVACIN
Se realizan capacitaciones para
1 el manejo del aplicativo Gawss? x

OBJETIVO DE
AI7.2 Plan de Prueba
CONTROL
Existe un plan de pruebas para
2 x
el sistema de informacin?
OBJETIVO DE
AI7.3 Plan de implementacin:
CONTROL
Existe un plan de respaldo para
3 x
el sistema de informacin?
OBJETIVO DE
AI7.4 Ambiente de Prueba
CONTROL
Existe un entorno seguro para
ejecutar el plan de pruebas sobre
4 x
el sistema de informacin?

Cuestionario: Instalar y Acreditar Soluciones y Cambios

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCES AI7 Instalar y Acreditar
implementar (AI) O Soluciones y Cambios
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
Se realizan capacitaciones para el 3
manejo del aplicativo Gawss?
Existe un plan de pruebas para el 4
sistema de informacin?
Existe un plan de respaldo para el 4
sistema de informacin?
Existe un entorno seguro para ejecutar 4
el plan de pruebas sobre el sistema de
informacin?
TOTAL 7 8
TOTAL CUESTIONARIO 15
Porcentaje de riesgo parcial = (7 * 100) / 15 = 46,66
Porcentaje de riesgo total = 100 46,66= 53,34
PORCENTAJE RIESGO 53,34% (Riesgo Medio)

Interpretar los resultados

Fuentes de conocimiento: Administrar los Servicios de Terceros

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Servicios brindados por proveedores y otras empresas
AUDITADO externas
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar Soporte (DS)

PROCESO DS2 Administrar los Servicios de Terceros

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Documento de Verificar la Comprobar el

polticas de existencia de cumplimiento de los
Seguridad documentos de lineamientos establecidos
Documento controles, polticas en el plan de polticas y
estndares de o procedimientos procedimientos de
Seguridad existentes seguridad de la
Documento de respecto a la informacin.
 procedimientos seguridad
de Seguridad informtica y de la
Reportes de informacin.
cada una de las Revisin contratos
violaciones e con terceros
incidentes de (internet,
seguridad plataforma
Reportes de acadmica y
cada una de las alquiler equipos
pruebas de cmputo)
peridicas
Contrato de
servicios de
internet
Contrato de
alquiler de
equipos de
cmputo
Contrato de
outsourcing de
la plataforma
Gwss.

Entrevista: Administrar los Servicios de Terceros

ENTREVISTA
Entregar y Dar Soporte DS2 Administrar los
DOMINIO PROCESO
(DS) Servicios de Terceros
OBJETIVO DE CONTROL
N CUESTIN RESPUESTA
1 Existe algn mtodo para la No se realiza dicha evaluacin
evaluacin de servicios prestados
por proveedores?

2 Se cuentan con acuerdos de nivel No se realizaron dichos acuerdos

de servicio; es decir, reportes donde
se especifique el nivel acordado
para la calidad del servicio?

3 Se identifican y categorizan las No se cuenta con ese documento

 relaciones de los servicios de
terceros?

4 La organizacin cuenta con No se cuenta con ese documento

polticas y procedimientos formales
respecto a la contratacin de
terceros?

5 Existe un plan de riesgos para los No se cuenta con ese documento

servicios prestados por terceros?

6 Las capacidades y riesgos del No se cuenta con ese documento

proveedor son verificadas de forma
continua?

7 Se tiene un proceso formal para la Se realiza dicha supervisin

supervisin de los proveedores de
servicios de terceros?

8 Hay mtodos documentados para No se cuenta con un documento

controlar los servicios de terceros y en el que se realicen dichos
negociar con los proveedores? controles

9 Los contratos con proveedores Si

estn basados en formatos
estandarizados?

10 Se revisan de forma peridica los No se realizan revisiones

contratos realizados con terceros? posteriores a los contratos ya
firmados.

Lista chequeo: Administrar los Servicios de Terceros

LISTA CHEQUEO
PROCESO DS2:
Entregar y Dar Soporte
DOMINIO PROCESO Administrar los
(DS)
Servicios de Terceros:
 DS2.1 Identificacin de Todas las Relaciones con
OBJETIVO DE CONTROL
Proveedores:
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
El colegio tiene firmados
contratos con terceros para la
prestacin de algn servicio, y
1 x
estos cumplen con la
normatividad establecida para
este tipo de documentos?
OBJETIVO DE
DS2.2 Gestin de Relaciones con Proveedores:
CONTROL
Se cuentan con acuerdos de nivel
de servicio; es decir, reportes donde
2 x
se especifique el nivel acordado para
la calidad del servicio?
OBJETIVO DE
DS2.3 Administracin de Riesgos del Proveedor:
CONTROL
Existe un plan de riesgos para los
3 x
servicios prestados por terceros?
Se establecen acuerdos de
4 confidencialidad con los x
proveedores de servicios?
OBJETIVO DE
DS2.4 Monitoreo del Desempeo del Proveedor:
CONTROL
Se tiene un proceso formal para la
supervisin de la prestacin del
5 servicio brindada por el proveedor de x
servicios de terceros?

Cuestionario: Administrar los Servicios de Terceros

CUESTIONARIO CUANTITATIVO R
E
F

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Servicios de terceros
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar PROCES DS2 Administrar los
Soporte (DS) O Servicios de
Terceros

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 El colegio tiene firmados contratos con 5
terceros para la prestacin de algn
servicio, y estos cumplen con la
normatividad establecida para este tipo
de contratos?
2 Se cuentan con acuerdos de nivel de 4
servicio; es decir, reportes donde se
especifique el nivel acordado para la
calidad del servicio?
3 Existe un plan de riesgos para los 4
servicios prestados por terceros?
4 Se establecen acuerdos de 5
confidencialidad con los proveedores de
servicios?
5 Se tiene un proceso formal para la 4
supervisin de la prestacin del servicio
brindada por el proveedor de servicios de
terceros?
TOTAL 10 12
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (10 * 100) / 22 = 45,45
Porcentaje de riesgo total = 100 45,45= 54,55
PORCENTAJE RIESGO 54,55% (Riesgo Medio)

Interpretar los resultados

Fuentes de informacin: Garantizar la Seguridad de los Sistemas

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Seguridad de la plataforma acadmica Funcionamiento
AUDITADO del aspecto fsico de la red de datos
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar Soporte (DS)

PROCESO DS5 Garantizar la Seguridad de los Sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Plan de polticas Verificar la Realizar Pruebas

y existencia de un de seguridad
procedimientos plan de polticas y sobre la
de seguridad de procedimientos de plataforma
los datos que seguridad de los acadmica Gawss
circulan sobre la datos e de acuerdo al
plataforma informacin en el manual de
acadmica colegio. pruebas OWASP
Sistema de Verificar el uso de Realizar pruebas
 llaves llaves de seguridad
criptogrficas. criptogrficas en sobre la red de
Entrevista con el el sistema para datos
administrador de envi de Revisar los perfiles
la plataforma en informacin de usuarios que
el colegio confidencial. tienen acceso a la
Registro de Verificacin de la plataforma
incidentes de seguridad de la acadmica Gawss
seguridad plataforma
detectados en el acadmica Gawss
sistema Revisin de las
pruebas de
seguridad
realizadas sobre
la plataforma

Entrevista: Garantizar la Seguridad de los Sistemas

ENTREVISTA
DS5 Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO Seguridad de los
(DS)
Sistemas
OBJETIVO DE CONTROL
N CUESTIN RESPUESTA
Conoce las vulnerabilidades y
amenazas de seguridad, a las que Conozco algunas pero no todas
1
est expuesto el sistema de las que nos podran afectar.
informacin?
2 Existe un plan de seguridad? No existe en el colegio
Existen pruebas, vigilancia y
3 No existen estn pruebas
monitoreo de la seguridad?
4 Cul es el manejo de los Son reportados a la direccin y
 en el caso del aplicativo Gawws
incidentes de seguridad? son reportados a su
desarrollador.
Se realizan pruebas de resistencia No se han realizado dichas
5
a sabotaje? pruebas.
Cules son las polticas y
En el colegio no se manejan este
6 procedimientos para el manejo de
tipo de aplicaciones.
llaves criptogrficas?
Existen medidas preventivas,
detectivas y correctivas en la En el colegio no se toman este
7
institucin para proteger el sistema tipo de medidas.
de informacin?
Existen tcnicas y procedimientos
de administracin, asociados para
No se cuenta con dichas
8 autorizar acceso y controlar los
tcnicas
flujos de informacin desde y hacia
internet?

Lista chequeo: Garantizar la Seguridad de los Sistemas

LISTA CHEQUEO
DS5 Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO Seguridad de los
(DS)
Sistemas
OBJETIVO DE CONTROL DS5.2 Plan de Seguridad de TI
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Existe un plan de polticas y
procedimientos de seguridad con
1 X
las inversiones en servicios,
personal, software y hardware.
Se comunica las polticas de
2 seguridad a los interesados y a X
los usuarios.
OBJETIVO DE
DS5.3 Administracin de Identidad
CONTROL
Existe proceso de autenticacin
Si, de acuerdo a su
para los usuarios internos
perfil de usuario, posee
3 (Administrativos, docentes y x
diferentes privilegios de
estudiantes) que solicitan acceso
acceso.
al sistema de informacin.
 Existe un repositorio central con la
informacin de usuarios y sus
4 x
permisos de acceso al sistema de
informacin de la institucin.
OBJETIVO DE
DS5.4 Administracin de Cuentas del Usuario
CONTROL
Existe un procedimiento para la
5 emisin, suspensin, modificacin x
y cierre de cuentas de usuarios.
OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la
CONTROL Seguridad
Se realizan peridicamente
pruebas de monitoreo a la
6 seguridad del acceso al sistema x
de informacin.

OBJETIVO DE
DS5.6 Definicin de Incidente de Seguridad
CONTROL
Se realiza monitoreo de los
incidentes que se presentan en el
7 X
sistema de informacin.

OBJETIVO DE
DS5.7 Proteccin de la Tecnologa de Seguridad
CONTROL
Se realizan pruebas de resistencia
8 x
al sabotaje
OBJETIVO DE
DS5.8 Administracin de Llaves Criptogrficas
CONTROL
Se utilizan llaves criptogrficas
9 para el envi de informacin x
confidencial.
OBJETIVO DE DS5.9 Prevencin, deteccin y correccin de
CONTROL software malicioso
Existen medidas preventivas,
detectivas y correctivas contra
Se cuenta con antivirus
10 software malicioso como virus x
actualizado
informtico.

OBJETIVO DE
DS5.10 Seguridad de la Red
CONTROL
11 Existen controles para la x Se cuenta con firewall
informacin que se enva y recibe del sistema operativo
 desde internet.
activado.

Cuestionario: Garantizar la Seguridad de los Sistemas

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Seguridad de la plataforma Gawss y la red de datos
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar PROCES DS5 Garantizar la
Soporte (DS) O Seguridad de los
Sistemas

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 Existe un plan de polticas y 4
procedimientos de seguridad con las
inversiones en servicios, personal,
software y hardware.
2 Se comunica las polticas de seguridad 4
a los interesados y a los usuarios.
3 Existe proceso de autenticacin para 5
los usuarios internos (Administrativos,
docentes y estudiantes) que solicitan
acceso al sistema de informacin.
4 Existe un repositorio central con la 5
informacin de usuarios y sus permisos
de acceso al sistema de informacin de
la institucin.
5 Existe un procedimiento para la 5
emisin, suspensin, modificacin y
cierre de cuentas de usuarios.
6 Se realizan peridicamente pruebas de 3
monitoreo a la seguridad del acceso al
sistema de informacin.
7 Se realiza monitoreo de los incidentes 4
 que se presentan en el sistema de
informacin.
8 Se realizan pruebas de resistencia al 4
sabotaje
9 Se utilizan llaves criptogrficas para l 3
envi de informacin confidencial.
10 Existen medidas preventivas, de 5
detencin y correctivas contra software
malicioso como virus informtico.
11 Existen controles para la informacin 5
que se enva y recibe desde internet.
TOTAL 25 18
TOTAL CUESTIONARIO 43
Porcentaje de riesgo parcial = (25 * 100) / 43 = 58,13
Porcentaje de riesgo total = 100 58,13 = 41,87
PORCENTAJE RIESGO 41,87% (Riesgo Medio)

Fuentes de informacin: Administracin de Datos

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO
Funcionamiento del aspecto fsico de la red de datos
AUDITADO
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar Soporte (DS)

PROCESO DS11 Administracin de Datos

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

Procedimiento Verificacin de la Comprobacin del

para el manejo y existencia de un adecuado
proteccin de procedimiento funcionamiento del
datos para el adecuado procedimiento
 Programacin manejo y para el manejo y
anual de proteccin de la proteccin de
realizacin de informacin de la datos.
copias de institucin.
seguridad. Revisin de las
Manejo de Verificacin del copias de
archivos cumplimiento de seguridad y su
documentales las jornadas de restauracin.
realizacin de
copias de
seguridad. Verificacin de los
logs activos de la
seguridad de
datos y redes

Entrevista: Administracin de Datos

ENTREVISTA
Entregar y Dar Soporte DS11 Administracin de
DOMINIO PROCESO
(DS) Datos
OBJETIVO DE CONTROL
N CUESTIN RESPUESTA
Qu tratamiento se le da a un Antes de realizar la donacin o
equipo, cuando este es calificado dar de baja un computador se
como obsoleto, y es eliminado o verifica que en sus unidades de
donado a otra institucin? cd o disquete, no se encuentre
1 ninguno de estos elementos con
informacin del colegio, y
posteriormente se realiza el
formateo del disco duro del
equipo.
En el colegio se realizan copias de En el colegio las copias de
seguridad en los equipos de seguridad se realizan cada tres,
2 cmputo? en los equipos que tiene
asignados los funcionarios
administrativos y cuerpo docente.
3 Si tuviera la necesidad de restaurar Hasta la fecha no he tenido la
informacin de un computador, en el necesidad de restaurar
colegio se cuenta con un informacin, no conozco si en el
procedimiento definido para realizar colegio exista tal procedimiento.
 dicho proceso?
Se han realizado pruebas de
seguridad sobre la plataforma
acadmica para identificar las
4 posibles vulnerabilidades del sistema
o de la red? Y que resultados se han
obtenido de dichas pruebas?

Lista chequeo: Administracin de Datos

LISTA CHEQUEO
Entregar y Dar Soporte DS11 Administracin de
DOMINIO PROCESO
(DS) Datos
OBJETIVO DE CONTROL DS11.4 Eliminacin:
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
En el colegio se tiene Cuando un equipo se
establecido un procedimiento a declara obsoleto y se
seguir para garantizar la destruye o dona a otra
1 x
eliminacin de informacin de los institucin se realiza
dispositivos, que se dan de baja o formateo de su disco
donan a otra institucin? duro.
OBJETIVO DE
DS11.5 Respaldo y Restauracin:
CONTROL
Se realizan copias de
seguridad de los
En el colegio se realizan
equipos del rea
2 backups de forma planeada y x
administrativas y
peridica?
docente cada tres
meses
Existe un procedimiento a seguir
cuando haya la necesidad de
No se cuenta con dicho
3 restaurar informacin de algn x
procedimiento
equipo de cmputo?

OBJETIVO DE DS11.6 Requerimientos de Seguridad para la

CONTROL Administracin de Datos
Existen en el colegio polticas y No se cuenta con
procedimiento para realizar la polticas o
4 x
recepcin y almacenamiento de procedimientos al
informacin? respecto
Cuestionario: Administracin de Datos

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Dey Yama Carlos Mauricio Rosero
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar PROCES DS11 Administracin
Soporte (DS) O de Datos

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 En el colegio se tiene establecido un 4
procedimiento a seguir para garantizar
la eliminacin de informacin de los
equipos, que se dan de baja o donan a
otra institucin?
2 En el colegio se realizan backups de 5
forma planeada y peridica?
3 Existe un procedimiento a seguir 5
cuando haya la necesidad de restaurar
informacin de algn equipo de
cmputo?
4 Existen en el colegio polticas y 5
procedimiento para realizar la recepcin
y almacenamiento de informacin?
TOTAL 9 10
TOTAL CUESTIONARIO
Porcentaje de riesgo parcial = (9 * 100) / 19 = 47,36
Porcentaje de riesgo total = 100 47,36 = 52,64
PORCENTAJE RIESGO 52,64% (Riesgo Medio)

Interpretar los resultados obtenidos